Der var tidspunkter, ikke så længe siden, når udnytte kits blev i vid udstrækning anvendes af hackere i forskellige typer af ondsindede kampagner. Men, med forbedring af browsere og nogle andre sikkerheds-fokuserede faktorer, brugen af EKS begyndte at falde, og noget andet kravlede i deres sted. Faktisk, TDS eller trafik distributionssystemer har været et afgørende element i at udnytte kits.
Kendte EKS som Angler og nuklear havde typisk en TDS omfattet, også kendt som gate eller fingeraftryk systemet. Disse blev brugt til at filtrere trafikken for en bruger at lande på en bestemt side til at inficere dem med malware.
Lad os tage den nukleare EK, som var en af de begunstigede malware-as-a-service-værktøjer i hænderne på cyberkriminelle og ransomware forfattere. Nuklear EK blev brugt til at sprede Locky ransomware – en af de mest udbredte og ødelæggende krypto virus i de seneste par år. Men, Nukleare aktiviteter oplevede en fornuftig nedgang i slutningen af april, og i henhold til flere ressourcer, exploit kit infrastruktur blev fuldstændig frosset i 2016.
Med det er sagt, sikkerhed forskere på Proofpoint har fulgt en ny trafik distributionssystem døbt BlackTDS der er indsat i fordelingen af forskellige stykker af malware.
Hvad er BlackTDS? Teknisk beskrivelse
Kort sagt, BlackTDS er en multi-funktionel TDS værktøj, der har været reklame sine tjenester på underjordiske markeder siden slutningen af december 2017, som påpeget af forskerholdet.
Denne trafik distributionssystem giver masser af tjenester til interesserede parter. Disse tjenester kaldes Cloud TDS. Ifølge operatørerne, Cloud TDS pakken kan håndtere social engineering og omdirigering til EKS mens unddrage påvisning af forskere og sandkasser. Desuden, BlackTDS også har adgang til friske domæner med rene ry over HTTPS, forskerne rapporteret.
De nøjagtige tjenester BlackTDS har at byde på er præsenteret i forum reklamer delte nedenfor:
Cloacking AntiBot tds baseret på vores ikke-misbrug servere fra $3 per dag i arbejde. Du behøver ikke din egen server til at modtage trafik. API til at arbejde med at udnytte packs og egne løsninger til forædling for at opnå installationer (FakeLandings). Mørk webtrafik færdige løsninger. placeret i 1 klik skjulte kode for at bruge indsprøjtning i js om eventuelle landinger, herunder om hackede hjemmesider.”
"Koste – $6 per dag, $45 om 10 dage, $90 om måneden, FRI sted på vores server, GRATIS hosting af din fil på grønne https:// domæne. 3 DAGE GRATIS TEST”
* Cloud AntiBot Traffic Management System på vores ikke-misbrug servere
* API til at arbejde med bundter af aktier og tilpassede løsninger til forædling for at opnå installationer (Faklendings). Placering af din fil på en grøn https: // domæne
* placeret i 1 klik skjulte kode for at bruge indsprøjtning i js om eventuelle landinger, herunder på skallerne
Hvad vi tilføjet i løbet af ferien:
* Indbyggede tilstande Iframe (lidt moralsk forældet, men bad – vi gjorde).
* falske Mirosoft opdatering (bryder side).
* Falske opdatering Jav og Fake opdatering Flash (siden bryder ikke, det oprindelige indhold er synligt).
* uploade en fil fra din personlige konto til vores server.
* Konfiguration forsinkelse for fremkomsten af falske vinduer.
* Auto-download, når du klikker på vinduet område.
* Opdatering af sort Geo databaser fra 13.01.18.
* forøges ved at bryde gennem de downloads fra 6%-12% til 10%-30%.
* tilføjet detaljerede statistikker om brugere, der har downloadet filen.
* autostart fil i forfalskninger.
Og det er kun på helligdage! Vi fortsætter med at arbejde. Cloud TDS på din tjeneste.
Hvor Er Traffic BlackTDS Bruger Kommer fra?
Tilsyneladende, truslen forfattere drive trafik til BlackTDS via velkendte kanaler såsom spam og malvertising. Så de "opsætte malware eller EK API efter eget valg, ud, hvorefter tjenesten til at håndtere alle andre aspekter af malware distribution via drive-by".
Sikkerhed forskere har været at observere BlackTDS infektion kæder i naturen, levere malware gennem social engineering tricks og falske softwareopdateringer. Hvad er værd at nævne, er, at selv om identifikationen af BlackTDS steder var ikke så svært for forskerne, knytte trafikken med kendte trussel skuespillere var ganske udfordrende eller endda svært.
Den 19. februar, 2018, de sikkerhedsmæssige forskere bemærket en bestemt spam kampagne, massivt indsat, der havde vedhæftede PDF-filer med links til en kæde, der involverer BlackTDS. Operationen sluttede på en hjemmeside der sælger rabat lægemidler. Denne trussel skuespiller, identificeret som TA5O5 spredte ransomware og bank trojanske heste på en meget massiv skala.
Endelig, mange forskere nu at henvise til ”bundtede” ondsindede tjenester som ”som en service”, og den samme regel gælder for trafik distributionsnet. I tilfælde af TDS, tjenester såsom hosting og konfiguration af komponenterne i en sofistikeret drive-by drift er inkluderet.
Som for BlackTDS især, ”De lave omkostninger, let adgang, og relativt anonymitet BlackTDS reducere adgangsbarriererne for web-baseret malware distribution”. Oven på det hele, netværket kommer med fuld understøttelse af social engineering og mulighederne for at levere malware direkte eller omdirigere ofre at udnytte kit destinationssider. Som en helhed, denne trafik distributionsnet afslører et vist niveau af avancement, trods den faldende udnytte kits.
Webbaserede angreb ikke går nogen steder, og BlackTDS er beviset.